Microsoft heeft donderdag bekendgemaakt dat het een aantal problemen met de Azure Database for PostgreSQL Flexible Server heeft opgelost die kunnen leiden tot ongeautoriseerde toegang tot databases tussen meerdere accounts in een regio.
“Door gebruik te maken van een bug met verhoogde machtigingen in het Flexible Server-authenticatieproces voor een replicatiegebruiker, kan een kwaadwillende gebruiker een onjuist verankerde reguliere expressie gebruiken om authenticatie te omzeilen om toegang te krijgen tot de databases van andere klanten”, Microsoft Security Response Center (MSRC) zei.
Het in New York City gevestigde cloudbeveiligingsbedrijf Wiz, dat de gebreken ontdekte, noemde de exploitketen “ExtraReplica.” Microsoft zei dat het de bug binnen 48 uur na bekendmaking op 13 januari 2022 had verholpen.
Het heeft met name betrekking op een geval van escalatie van bevoegdheden in de Azure PostgreSQL-engine om code-uitvoering en een cross-account authenticatie-bypass te verkrijgen door middel van een vervalst certificaat, waardoor een aanvaller een database kan maken in de Azure-regio van het doelwit en gevoelige informatie kan exfiltreren.
Met andere woorden, een succesvolle exploitatie van de kritieke fouten had een kwaadwillende in staat kunnen stellen om ongeautoriseerde leestoegang te krijgen tot de PostgreSQL-databases van andere klanten, waardoor de isolatie van de huurder effectief werd omzeild.
Wiz heeft de privilege-escalatie teruggebracht tot een bug die het gevolg was van wijzigingen die in de PostgreSQL-engine waren geïntroduceerd om hun privilegemodel te versterken en nieuwe functies toe te voegen. De naam ExtraReplica komt van het feit dat de exploit gebruikmaakt van een PostgreSQL-functie die het mogelijk maakt databasegegevens van de ene server naar de andere te kopiëren, dwz de database te “repliceren”.
De Windows-maker beschreef het beveiligingslek als een invloed op PostgreSQL Flexible Server-instanties die zijn geïmplementeerd met behulp van de openbare netwerkoptiemaar benadrukte dat het geen bewijs vond dat de fout actief werd uitgebuit en dat er geen toegang was tot klantgegevens.
“Klanten hoeven geen actie te ondernemen”, aldus MSRC. “Om de blootstelling verder te minimaliseren, raden we klanten aan om privénetwerktoegang in te schakelen bij het instellen van hun Flexible Server-instanties.”
